Le ecureuil
-
Posts
9,486 -
Joined
-
Last visited
-
Days Won
544
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Le ecureuil
-
-
2.02 это официальная версия прошивки во время запуска на завод. Поскольку модель вышла очень давно, то и прошивка эта устарела на несколько поколений - потому и пишет, что нет подключения.
Попробуйте использовать один из вариантов отсюда: http://files.keenopt.ru/firmware/Keenetic_Omni/
И с него уже можете попробовать поставить версию с официальной страницы компонентов.
-
Я немного неточно написал. Инструкцию я смотрел на официальном сайте zyxel в ней описано как настроить два кинетика и установить между ними туннель ipsec. Я пытался настроить на работу с айфоном самостоятельно, но не вышло.
Iphone пока не поддерживается.
В будущем будет поддерживаться?
Остальные режимы не реализованы, создавайте тикеты с пожеланиями в техподдержку. -
Подскажите, как настроить ipsec для работы с iPhone 5s?? Настраивал по инструкции, не получилось.
А можно ссылку на инструкцию? Подобное подключение никогда не проверялось и даже еще не рассматривалось в качестве возможного.
Я немного неточно написал. Инструкцию я смотрел на официальном сайте zyxel в ней описано как настроить два кинетика и установить между ними туннель ipsec. Я пытался настроить на работу с айфоном самостоятельно, но не вышло.
Iphone пока не поддерживается.
-
Zyxel keenetic giga 3, прошивка 2.06(AAUW.5)A7. Непонятно как вообще настраивать компонент ipsec. Есть пример настройки?
примеры настройки так и не появились?
хотя бы банального ipsec с пасскеем клиент на роутере - vpn провайдер в сети, для l2tp туннеля в интернет.
в мануалах зикселя считают что это никому не надо и в основном пинают тему роутер-роутер.
Потому что пока роутер поддерживает и протестирован только в режиме site-to-site туннелей (настройка доступна через Web) и L2TP over IPsec клиент (настройка доступна через CLI). Остальные режимы не реализованы, создавайте тикеты с пожеланиями в техподдержку.
-
Zyxel keenetic giga 3, прошивка 2.06(AAUW.5)A7. Непонятно как вообще настраивать компонент ipsec. Есть пример настройки?
Распишите пожалуйста вашу схему сети и что вы желаете получить от IPsec? Без этого рекомендаций дать невозможно.
Для настройки существует web-страница, а также CLI, мануал по которому уже выложен http://keenopt.ru/viewtopic.php?p=1612#p1612. Идеологически все делано наподобие cisco-like.
Подскажите, как настроить ipsec для работы с iPhone 5s?? Настраивал по инструкции, не получилось.
А можно ссылку на инструкцию? Подобное подключение никогда не проверялось и даже еще не рассматривалось в качестве возможного.
-
единственный технически реализуемый вариант - L2TPoverIPsec. Клиент уже есть в NDMS 2.06, серверная реализация пока не планируется, ждем запросов от пользователей
Скажите, теоретически, L2TP, или какой еще вариант сможет использовать аппаратную криптографию, как на чистом IPSec? Интересует производительный туннель при неизменных IP-адресах оконечных устройств (с непересекающейся внутренней адресацией) с возможностью использования его как в виде дефолтного маршрута, так и в роли выходной точки - сейчас все это возможно с PPTP-сервером, но огранчиено 30 мбит/с. OpenVPN пока не дошли руки настроить и протестировать между двумя гигами на v2 (раньше был линк между ними на v1.11) - интересует производительность различных решений при сравнительно равном уровне шифрования (скажем, AES128) а так же полезность использования crypto engine.
Клиент L2TPoverIPsec в 2.06 прекрасно работает с crypto engine, показывая скорость в 7 Мбайт/сек, но в NDMS пока нет и не планируется функция сервера.
В принципе в будущих релизах возможно будут GRE, GREoverIPsec, EoIP и EoIPoverIPsec - тогда будут и клиенты, и серверы, но это дело не совсем скорого будущего.
-
А есть ли планы использовать IPSec на сервере как маршрут по умолчанию для клиента по аналогии с pptp сервером? Было бы удобно подключать какой нибудь андройд по постоянному защищенному каналу( функция постоянная VPN доступла на андройд только для IPSec)Правильно ли я понимаю, что IPSec-туннель нельзя назначить штатными подключением по умолчанию (для выхода в интернет через сервер), в том числе с использованием всех возможностей резервирования?
Именно, сейчас назначить трафик в IPsec как в роут по умолчанию нельзя.
Чистый IPsec такого не позволяет из-за особенностей реализации XFRM в ядре Linux.
Есть вариант с virtualip + IKEv2, но тогда возникает проблема с сертификатами, которые должны быть перегенерированы при каждом(!) изменении IP сервера и установлены на клиентах, что практически невозможно.
Поэтому единственный технически реализуемый вариант - L2TPoverIPsec. Клиент уже есть в NDMS 2.06, серверная реализация пока не планируется, ждем запросов от пользователей (напишите в официальную техподдержку, чтобы менеджмент тоже знал, что народ это хочет).
-
Правильно ли я понимаю, что IPSec-туннель нельзя назначить штатными подключением по умолчанию (для выхода в интернет через сервер), в том числе с использованием всех возможностей резервирования?
Именно, сейчас назначить трафик в IPsec как в роут по умолчанию нельзя.
Ситуация: IP, где стоит роутер-сервер, прописан в списках доступа на многочисленных сервисах, удобно с помощью OpenVPN/PPTP "телепортироваться", при этом нужна сеть между двумя роутерами. Сейчас у меня PPTP-подключение стоит для связи двух сетей за роутерами, маршруты до пары часто используемых сервисов прописаны для выхода через другой роутер, а при необходимости полной телепортации ставится галка доступа в интернет на нем, смогу ли я что-то подобное сделать на IPSec?Полностью вашу схему повторить нельзя, только организовать связь между двумя сетями (и то только если они не пересекаются).
-
Добрый день, в свете того, что на ультру вышла прошивка с IPSec
Хочу спросить что нужно прописать в настройках чтобы объединить Ультру 1 и Ультру 2 по ipsec вместо pptp?
В базе знаний по ipsec пока статей к сожалению нет.
Все довольно просто.
На сервере должен быть глобально-маршрутизируемый (иными словами "белый") IP адрес.
В качестве сервера и клиента может выступать любая из сторон, выбирайте как заблагорассудится.
На сервере указываете галку "Ожидать подключение от удаленного пира", указываете имя соединения, затем локальный идентификатор (рекомендую использовать email, можно выдуманный), ключ PSK, локальную сеть и удаленную сеть. Включаете сервис выставлением галки "Включить" и нажатием на "Применить". Все, с сервером готово.
На клиенте указываете галку "Автоподключение", указываете имя и адрес сервера (можно IP, можно доменное имя), локальный идентификатор, удаленный идентификатор (тот, что указали на сервере в качестве локального), ключ PSK (тот, что указан на сервере), локальную сеть и удаленную сеть (они будут противоположны с сетями сервера, если на сервере локальная сеть 192.168.1.0/24, а удаленная 192.168.2.0/24, то на клиенте локальной будет 192.168.2.0/24, а удаленной 192.168.1.0/24. Важным моментом является то, что сети не должны пересекаться и входить друг в друга.). Включаете сервис выставлением галки "Включить" и нажатием на "Применить". После этого все должно соединиться и заработать.
-
Keenetic Omni II v2.05(AAUS.20)C2 установилась новая версия и появился пакет opkg.
Одно непонятно что с ним делать. Диск ессно настоился. И все. Как производить установку ПО не понятно
команды install нет.
Только
(config)> opkg
disk - set Open Package disk
chroot - chroot Open Package executables
initrc - set Open Package init script
timezone - set Open Package timezone
dns-override - override local DNS service
Или я что то не так делаю. Что дальше делать???
Все предельно ясно описано в первом же посте: viewtopic.php?p=2#p2
-
К кинетику подключено два жестких диска в MC копирую файлы с одного на другой. скорость 8Mb/s
Если засыпает компьютер через который я зыпускал MC на кинетике копирование засыпает тоже.
Почему? я думал что копирование запущено на кинетике и можно выключать основной компьютер.
Как запустить копирование, чтобы можно было отключится от кинетика и он копировал самостоятельно?
Установите утилиту screen или tmux, и запускайте mc в ней. Она позволяет отключить ssh-сессию и оставить ее работать.
-
up!
Так же интересовал этот вопрос, технология в частности udp broadcast. В сети нашёл что-то невнятное на основе openvpn (бридж).
В гугле можно искать по статьям в стиле lan game openvpn broadcast. Бывает используется старый софт, когда как раз этот udp broadcast очень нужен.
Железка viva, возможно есть какой-то способ для реализации данной задачи? Через (PPTP) - на сколько я понял - реализовать это нельзя, на openvpn заведётся?
Да, на openvpn + keenopt/entware довольно легко.
-
В вашей схеме из-за ее высокой гетерогенности возможно стоит остаться на PPTP имхо. Настройть IPsec в такой среде даже для спецов может быть сложно, причем я не знаю адресации в вашей сети, а linux kernel xfrm не поддерживает перекрывающиеся подсети в IPsec SA, потому возможно придется городить GRE/IPIP/EoIP туннели поверх IPsec или NAT.
Клиенты и сервер видны напрямую (либо с обоих сторон белые IP, либо серый IP от того же провайдера, что и на роутере-сервере), обходить NAT и фильтрации не придется, а подсети за роутерами уже сейчас жестко поделены без пересечений.
Интересно было бы сравнить максимальные скорости и нагрузку на процессор на этих скоростях (PPTP vs OpenVPN vs IPSec), соотнести это с безопасностью (у PPTP с авторизацией немного печально) и стабильностью (скорость и успешность восстановления после разрывов) и выбрать наиболее выигрышное по личным критериям.
На 6856 (Keenetic II, Giga II, Ultra) вероятно будет аппаратный IPsec, на Giga III и Ultra II он уже сейчас есть, настраивается через CLI-команду crypto engine (описана в мануале, выложенном здесь). На остальных устройствах IPsec будет программный и судя по внутренним тестам он показывает скорость несколько ниже шифрованного PPTP.
Авторизация доступна через PSK и дополнительно XAUTH (в IKEv1).
-
Для Keenetic II IPsec пока недоступен (будет в 2.06), потому надежным рабочим вариантом остается только PPTP.
Как нужно грамотно настроить? Я пробовать делать PPTP site-site, но со стороны кинетика почему-то не подхватывался туннельный IP адрес шлюза ISA Server-а.
Реализация site-to-site PPTP описана в базе знаний https://zyxel.ru/kb/4214/ .
А насчет "не подхватывался туннельный IP адрес шлюза ISA Server-а" - можно поподробнее с описанием ситуации, схемой сети и возможно логами?
-
В 2.06 появился IPsec и L2TP/IPsec на базе strongSwan, работающий в качестве стандартного компонента
Хотелось бы понять, раз уж зашла речь - правильно ли я понимаю, что в 2.06 можно будет вместо сети на базе штатного PPTP-сервера использовать IPsec, терминируемый с обоих сторон на роутерах? Или все-таки на стороне сервера должна быть железка поумнее?
Если KG2 сможет выступать сервером - будет ли совместимость с белыми кинетиками в качестве клиента?
Сейчас у меня один KG2 является PPTP-сервером, другой KG2 и KG1 - клиенты, эпизодически подключаюсь с ПК, планирую подцепить простой первый кинетик, 4G II и тплинк с OpenWRT. Можно ли будет в таком виде на 2.06 перейти на IPsec, или белые кинетики на 2.04 не будут совместимы?
В 2.06 реализована функция как клиента, так и сервера для site-to-site соединений, потому будет работать как между двумя кинетиками, так и между кинетиком и компом/железкой поумнее.
Белые кинетики с 2.04 будут совместимы, если поставите в них ipsec из entware/keenopt и настроите, бекпорта именно как функционала NDMS туда не будет.
В вашей схеме из-за ее высокой гетерогенности возможно стоит остаться на PPTP имхо. Настройть IPsec в такой среде даже для спецов может быть сложно, причем я не знаю адресации в вашей сети, а linux kernel xfrm не поддерживает перекрывающиеся подсети в IPsec SA, потому возможно придется городить GRE/IPIP/EoIP туннели поверх IPsec или NAT.
-
Уважаемые ГУРУ, подскажите, пожалуйста, темному.
У меня роутер Zyxel Keenetic II на последней прошивке с files.keenopt.ru установлен в филиале.
В центральном офисе у меня в качестве VPN-шлюза/firewall/контроллера домена установлен Windows Server 2003 c ISA Server 2006.
ISA Server 2006 умеет организовывать VPN туннели site-site с помощью 3 протоколов:
PPTP
L2TP/Ipsec
или чистого IPsec.
Скажите пожалуйста, можно ли как-то с помощью моего Keenetic II в филиале подружиться с ISA Server 2006 и объединить сети филиала и центрального офиса?
Можно ли как-то добавить функционал IPsec в Keenetic II? Как?
Заранее огромное спасибо всем откликнувшимся!
Для Keenetic II IPsec пока недоступен (будет в 2.06), потому надежным рабочим вариантом остается только PPTP.
-
Если руками включить/выключить - то все нормально.
Есть подозрения, что после перезагрузки PPTP поднимается раньше, чем WAN успевает получить нормальный IP от DHCP провайдера. Но это только подозрения. Как проверить пока не придумал
[attachment=0]self-test.log[/attachment]
Судя по логу здесь явно что-то не то с сетью или pptp-сервером: соединение с ним пытается установиться и на полпути разывается, даже не достигая стадии PPP. На других версиях прошивки работает нормально?
-
Пришлите пожалуйста self-test с включенной через telnet командой
> interface PPTP0 debug
Это должно прояснить все вопросы.
Еще подскажите - а если руками в web включить/выключить PPTP, то все нормально устанавливается?
-
Белый адрес стоит дополнительных денег у моего провайдера, так что отпадает эта тема.
Вот последние 6 суток, роутер не перезагружал , белый адрес постоянный. Захожу в вебинтрефейс из внешки без проблем.
Все верно, поскольку ваш роутер не шлет RELEASE провайдеру, и постоянно делает RENEW - таким образом провайдер тоже в курсе, что этот адрес у вас и никому его не отдает заново.
-
Просто если подсети на разных WAN совпадают, то это любой роутер одуреет и не сможет их сразу вдвоем использовать
Хм, а если на двух интерфейсах гейтом железка с одним MAC но с разными IP?
Если подсети не пересекаются, то все должно быть нормально.
-
Просто если подсети на разных WAN совпадают, то это любой роутер одуреет и не сможет их сразу вдвоем использовать
-
Попробуйте в дополнение обратиться с этим в официальную техподдержку - пусть у них тоже будут заявки на это, чтобы product manager'ы понимали насколько это востребованная фича.
Создал тикет суппорту zyxel.ru, #329 370
Если для менеджмента нужна аргументация зачем нужна эта фича на старых моделях:
дать пользователям возможность повышения приватности,
я конечно могу поднять PPTP на centos, но считаю L2TP/IPSec более безопасным и удобным.
У нас локально в рознице (супермаркеты бытовой техники)
только Keenetic и TPLink, у последнего IPSec есть, но zyxel то лучше!
Спасибо!
Не за что
Я сам все понимаю, и всячески бы накручивал IPsec во всех моделях роутеров, только это упирается в
- нет запросов от юзеров
- как следствие начальство не хочет тратить время программистов на то, что людям не нужно
- отдел тестирования/QA просто не пропускает эти фичи из-за того, что на их тестирование нужно время, которого им тоже не выделяют
Потому чем больше будет запросов от юзеров - тем лучше
А кстати, tp-link умеет l2tp/ipsec? Из того, что я видел - он умеет только site-to-site tunnel.
-
Еще роутер поддерживает L2TP/IPsec в режиме клиента, но этот функционал почти не протестирован, так как не было запросов от пользователей.
у меня два keenetic DSL очень жду и нужен L2TP/IPsec в режиме клиента, готов выступить QA -- серверная часть также конфигурируется мной
Окончательно решение еще не принято, но скорее всего Keenetic DSL останется на NDMS 2.05 с ядром 2.6.22 из NDMS 2.04 навсегда (это связано с особенностью чипа RT63368), что вероятно ставит крест на поддержке IPsec в нем.
Однако еще раз повторю, что окончательное решение еще непринято - возможно IPsec будет перенесен в 2.05.
Попробуйте в дополнение обратиться с этим в официальную техподдержку - пусть у них тоже будут заявки на это, чтобы product manager'ы понимали насколько это востребованная фича.
-
адреса IP по dhpc из одного сегмента
Такое к сожалению вообще не годится (и работать врядли будет, расчет идет на то, что nexthop у каждого аплинка уникален и подсети разные), здесь вам нужен не multiwan, а link aggregation скорее - это фича другого уровня.
Ранние прошивки NDMS
in Обмен опытом
Posted
Попробуйте пока не обновляться до последней версии - просто залить рабочую версию и все.
И компоненты тоже не удаляйте - если у вас прошивка нормально залилась, но вы не используете эти компоненты, то память под них не будет выделяться: соврешенно нет смысла что-то удалять до тех пор, пока система явно не напишет, что прошивка слишком большая и не влезает. Плюс меняя набор компонентов вы сами того не подозревая автоматически скачиваете самю свежую версию с сервера NDSS, что вам скорее всего не подходит из-за потери соединения на ней.